Covid-19 : Pourquoi le traçage de proximité est important et pourquoi son intégrité doit être contextuelle
Publié le 16 avril 2020 par Denis "Jaromil" Roio
Alimentant le débat sur le traçage de proximité pendant la pandémie de Covid-19, le hacker, entrepreneur social et expert en matière de vie privée Denis Roio, alias Jaromil de Dyne.Org, remet en question certaines croyances polarisantes qui se forment autour des concepts de vie privée et d’urgence en y ajoutant le contexte de la surveillance locale et mondiale et la gouvernance de ces systèmes.
Denis Roio (alias Jaromil) est un chercheur en philosophie de la technologie, artiste et artisan du logiciel dont les créations sont soutenues par la Free Software Foundation. Il est impliqué dans Bitcoin depuis ses débuts et depuis 2000, il se consacre à la construction de Dyne.org, une maison du logiciel qui rassemble les contributions d’un nombre croissant de développeurs qui privilégient la responsabilité sociale plutôt que le profit. Récemment, Denis Roio a participé à deux projets de recherche européens, D-CENT et DECODE, tous deux axés sur les « Technologies décentralisées d’engagement citoyen » et un « Écosystème de données décentralisées appartenant aux citoyens ».
Correspondance,
Il y a une semaine, j’ai publié des instructions simples sur la façon de réaliser des logiciels libres pour le traçage de proximité, en particulier sur la façon d’intégrer un protocole cryptographique qui préserve la vie privée.
Ce premier billet a très bien réussi à inciter un grand nombre de développeurs et d’entrepreneurs à se concentrer sur la conception d’applications mobiles qui peuvent aider à faire face à l’urgence du COVID-19.
C’était la première fois que je me retrouvais en tendance sur le topic #privacy de LinkedIn !
Aujourd’hui, je vais expliquer le raisonnement qui sous-tend ces développements : pourquoi ils sont importants et comment nous pourrions vouloir déployer des systèmes de traçage de proximité. Tout au long de ce billet, je remettrai brièvement en question certaines croyances polarisantes qui se forment autour des concepts de vie privée et d’urgence en ajoutant le contexte de la surveillance locale et mondiale, la gouvernance de ces systèmes et plus généralement en partageant mon opinion sur l’état d’urgence dans lequel nous sommes tous bloqués pendant un certain temps.
Nous voulons nous libérer
Permettez-moi de commencer par une mise en garde : je suis en quarantaine en Italie et je suis bloqué dans un confinement total imposé par l’armée depuis le 11 mars. Je reste également en contact étroit avec les médecins et je connais assez bien la situation dans les hôpitaux d’ici. Peu importe que vous croyiez ou non que ce virus représente une menace sérieuse : lorsqu’un confinement est déclaré, tout le monde est touché.
Il y a une sorte de fossé de réalité que la plupart d’entre nous sera tôt ou tard obligé de franchir : celui du bouleversement dramatique de la vie de chacun, de l’économie régionale et nationale et de toutes sortes d’activités familiales.
Je ne dis pas que « si vous n’avez pas vécu cela, vous ne savez rien », mais assurez-vous de bien le comprendre avant de conclure que le traçage de proximité est mauvais. Ensuite, décidez d’une stratégie de sortie.
Car nous aurons tous besoin d’une stratégie de sortie : imaginez comment gérer la courbe logistique après l’inflexion et ce que sera la vie quotidienne après cette urgence. Il est clair que le tsunami macro-économique qui va frapper les côtes du monde entier est si grand qu’il n’existe pas de digue assez haute qui justifie d’être négligeant.
#Coronavirus: Our researchers are working on defining common ‘exit scenarios’.
But what does this mean? ⬇️
It’s about helping to develop strategies for…
🔹safely lifting containment measures
🔹helping our societies to get back to normalLearn more: https://t.co/Lb21MGfLHf pic.twitter.com/cgn0kOcTBV
— EU_ScienceHub (@EU_ScienceHub) April 10, 2020
Imaginez que vous surfiez la courbe logistique
Commençons par esquisser les besoins des scénarios de sortie : ils sont tous, d’une manière ou d’une autre, liés à la reprise de l’activité dans des espaces encombrés pour lesquels le « télétravail » ne peut pas fonctionner éternellement. Les écoles, les usines, les bureaux… et soyons honnêtes, nous devons aussi retourner dans les pubs et retrouver des pistes de danse.
Permettez-moi de vous donner un autre cas d’utilisation pour le traçage de proximité, celui du déplacement à travers les frontières : si je veux revenir d’Italie aux Pays-Bas, comment puis-je démontrer à travers tous les contrôles frontaliers que j’ai diligemment effectué ma quarantaine ici, que je me suis même testé moi-même ainsi que tous mes co-détenus avant de partir, que je n’ai été exposé à aucune infection en chemin et, en fin de compte, comment puis-je éviter de faire une autre quarantaine à mon arrivée ?
Nous avons besoin de solutions à ces scénarios et à d’autres encore, et nous en avons besoin rapidement car, tout en devant contenir la pandémie, nous ne pouvons pas bloquer toutes les activités économiques, didactiques et de production, nous ne pouvons pas arrêter nos vies et imaginer vivre dans un bunker pendant un an : au moins ici en Europe, la densité démographique est trop élevée pour les plans d’isolement à long terme, outre le fait que nous ne les jugeons pas assez sexy pour nos modes de vie.
Je pense que le traçage de proximité a des avantages propres à son usage, et n’a pas besoin d’être obligatoire.
Il faut faire face à la réalité de l’urgence et accepter le fait que les gens voudront participer au traçage de proximité pour gagner en liberté.
Il est faux de penser que le déploiement de ces applications soit nécessairement obligatoire : lorsque la condition de base d’une population est le confinement, l’incitation à adopter l’application est plus que suffisante.
Ce dont nous devons nous assurer, c’est que toutes ces technologies respectent le droit à l’oubli et sont rendues possibles par des systèmes de préservation de la vie privée grâce aux innovations dans le domaine de la cryptographie et de l’informatique mobile.
Quels sont les risques
Bien sûr, penser à un système de traçage de proximité à l’échelle nationale, européenne ou même mondiale devrait donner des frissons à quiconque s’appuie sur la vie privée pour des raisons politiques et professionnelles, et les médecins sont également concernés par l’existence même de tels systèmes, qui les discriminent en tant que sujets à risque pour entrer et sortir des hôpitaux. Comme dans tout système de ce type, des exceptions doivent être envisagées, et l’hypothèse d’un monde ouvert doit être appliquée de manière ad-hoc à des cas particuliers, tandis que les exigences générales en matière de vie privée doivent être appliquées : à ce titre je recommande ce grand tour d’horizon effectué par le Chaos Computer Club.
Et même dans le cas de la conception la mieux pensée (AMHA) de « Traçage de proximité préservant la vie privée « (DP-3T), il y a des risques à prendre en compte.
Tout récemment, Moxie a fait un bref résumé de ce qui peut être raisonnablement considéré comme essentiel dans la conception du protocole annoncé comme un effort conjoint Apple/Google de traçage de proximité et assez similaire au DP-3T :
First look at Apple/Google contact tracing framework:
1) Once a day, your device derives a new key ("daily tracing key").
2) It uses that to derive a new "proximity ID" every time your device's bluetooth address changes (15min), which is broadcast to nearby BT sensors.
1/10
— Moxie Marlinspike (@moxie) April 10, 2020
Ces préoccupations doivent être prises très au sérieux : même si le DP-3T et les approches distribuées similaires suivent brillamment les principes de « privacy by design » que nous avons esquissés dans le projet DECODE il existe de forts risques de corrélation des données sur de grands nombres, en particulier lorsque le système est géré par des géants de la technologie qui détiennent déjà une grande quantité de données privées sur les personnes, et qui profitent de leur oligopole sur ce qui devrait être considéré, plus que jamais, comme un bien commun de la connaissance.
Trouver un équilibre entre vie privée et urgence
Je partage ici tout mon raisonnement car je pense qu’il est important de dépasser la polarisation rhétorique entre vie privée et urgence. La médiation est rendue possible par l’ajout d’une nouvelle dimension au discours qui concerne le contexte et l’échelle du système. Pour ce faire, je propose l’application du concept de vie privée comme intégrité contextuelle d’Helen Nissenbaum.
En supposant que nous connaissions tous bien la valeur de la vie privée et que nous tenions compte des parties prenantes à ce stade, peu importe à quel point un concept de préservation de la vie privée est plus décentralisé qu’un autre, la question serait plutôt : quelle est la portée des risques de corrélation des données et d’exploitation par des oligopoles dont le modèle commercial est historiquement basé sur l’exploitation des données.
Il est important d’ajouter l’axe local/global à l’équation vie privée/urgence et de commencer à le considérer comme une variable pertinente lorsque l’on réfléchit à de nouvelles politiques d’urgence qui peuvent aligner les États-nations européens autour d’un protocole interopérable, mais en laissant de côté l’idée d’une application unique pour tous.
Ne faites pas confiance aux organisations à but lucratif pour gérer les données. Les systèmes conçus dans un but social doivent être régis en fonction des préoccupations et des priorités sociales.
Ce dont nous avons besoin, c’est que les grandes entreprises technologiques offrent aux différents groupes d’intérêt l’accès à la création et à la distribution d’applications spécifiques respectant les principes de protection de la vie privée et de décentralisation. Pour parler franchement, il leur suffit de fournir un accès équitable à l’infrastructure numérique : parce que celui-ci n’existe pas vraiment, il est réservé aux développeurs par des politiques de marché des applications et des verrous d’accès au matériel de bas niveau.
Je pense que c’est très mauvais si Google+Apple développe l’application et fournit ce service au monde entier. Mais ce n’est pas le cas ! Fournir un SDK est une bonne contribution à nos besoins !
Les entreprises sont les bienvenues pour améliorer leurs API et permettre aux développeurs communautaires et du secteur public d’accéder aux marchés. Grâce aux nouvelles technologies, ni les entreprises (TELCO) ni les États n’ont besoin de fournir un service mondial de traçage. Si une entité centrale privée le fait (c’est-à-dire un monopole d’État TELCO ou une méga-corporation), cela devrait être considéré comme un problème antitrust et une tentative de saisie de données, car leur capacité de corrélation des données est immense. Si une entité centrale publique le fait (État, police, etc.), cela devrait être considéré comme une violation des droits civils.
Le traçage est-il suffisant ?
Non.
Nous devons rendre les données authentifiées portables dans tous les cadres politiques, tandis que les identités doivent être jetables.
Lorsque l’on adopte des mesures de verrouillage d’urgence qui étendent les rôles de l’ordre public à des personnes mal formées ou même pire, aux unités militaires, les risques que le pouvoir soit exercé de façon déviante sont très élevés et vont de la discrimination au niveau de la rue à un coup d’État en cas de troubles civils à grande échelle. Ces scénarios doivent être évités à tout prix.
Les mesures d’urgence doivent être appliquées de la manière la plus neutre possible : aucun jugement ne doit être rendu en dehors de la salle d’audience et les imputations pénales doivent être le tout dernier recours.
Nous avons besoin de justificatifs d’identité à connaissance zéro (« zero-knowledge proof credentials » – NDT) et de cadres de travail open source adaptables localement pour l’authentification sur site et en ligne.
Les personnes qui font de leur mieux pour se conformer à la situation et protéger leur famille doivent avoir la garantie que personne ne portant d’uniforme puisse tirer partie de la situation. Si vous pensez que j’exagère ici, c’est simplement parce que vous n’avez pas vu de près ce qui s’est passé en Égypte au cours des vingt dernières années.
Ici, nous avons imprimé et transporté des feuilles de papier « d’autocertification » obligatoires pour négocier et justifier des déclarations ad hoc avec la police ou les unités militaires nous arrêtant dans les rues ; une sanction pénale peut être infligée à tout moment lorsque nous sommes jugés en violation de règles qui changent chaque semaine.
En fait, c’est ma plus grande crainte pour le sud de l’Italie et les zones pauvres de la Méditerranée en général : connaissant bien ma terre natale et ses racines amères de sociétés paysannes plongeant dans le banditisme social, considérant le choc économique dont nous serons tous témoins, le resserrement de l’endettement frappant les zones à faible PIB et les liquidités aux mains de la mafia, je dois admettre que ce qui m’inquiète, c’est la nature politique de l’urgence prochaine.
C’est une période difficile pour les décideurs politiques : ce n’est pas un exercice et il n’y a pas le droit à l’erreur, il se pourrait bien que ce soit le passage final de diplôme de l’Europe.
Cet article a été initialement publié sur le Medium de Denis Roio.